Aus fachlicher Sicht empfohlene Anpassungen des E-DSG

Transkript

1 Aus fachlicher Sicht empfohlene Anpassungen des E-DSG Von David Rosenthal Basierend auf dem Entwurf und der Botschaft des Bundesrates für eine Totalrevision des Datenschutzgesetzes vom. September 07. Detaillierte Erläuterungen zu den Empfehlungen finden sich im entsprechenden Aufsatz "Der Entwurf für ein neues Datenschutzgesetz: Was uns erwartet und was noch zu korrigieren ist", in: Jusletter vom 7. November 07 (voraussichtlich). Version.0. November 07 Art. Begriffe In diesem Gesetz bedeuten: a. Personendaten: alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen; b. betroffene Person: natürliche Person, über die Personendaten bearbeitet werden; c. besonders schützenswerte Personendaten:. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten,. Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie,. genetische Daten, die eindeutige Informationen über die Physiologie oder Gesundheit der betroffenen Person liefern,. biometrische Daten, die die eindeutige Identifikation einer natürlichen Person eindeutig identifizierenbezwecken,. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen,; 6. Daten über Massnahmen der sozialen Hilfe; d. Bearbeiten: jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten; e. Bekanntgeben: das Übermitteln oder Zugänglichmachen von Personendaten; f. Profiling: jede Art der automatisierten Verarbeitung von Personendaten, die darin besteht, dass diese Personendaten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagendie Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Vorlieben, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen; g. Verletzung der Datensicherheit: eine Verletzung der Sicherheit, die ungeachtet der Absicht oder der Widerrechtlichkeit dazu führt, dass Personendaten verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden; h. Bundesorgan: Behörde oder Dienststelle des Bundes oder Person, die mit öffentlichen Aufgaben des Bundes betraut ist; i. Verantwortlicher: private Person oder Bundesorgan, die oder das allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet; j. Auftragsbearbeiter: private Person oder Bundesorgan, die oder das im Auftrag des Verantwortlichen Personendaten bearbeitet. Kommentiert [DR]: Kommentiert [DR]: Kommentiert [DR]: Prio ; neue Definition entspricht jene der EU.

2 Art. Grundsätze Personendaten müssen rechtmässig bearbeitet werden. Die Bearbeitung muss nach Treu und Glauben und insbesondere transparent erfolgen und verhältnismässig sein. Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft werden; sie dürfen nur so bearbeitet werden, dass es mit diesem Zweck vereinbar ist. Kommentiert [DR]: Ergänzung zur Anpassung bei Art. 7 E-DSG (analog EU). Sie werden gelöscht, vernichtet oder anonymisiert, sobald sie zum Zweck der Bearbeitung nicht mehr erforderlich sind. Wer Personendaten bearbeitet, muss sich über deren Richtigkeit vergewissern. Sie oder er muss alle angemessenen Massnahmen treffen, damit die Daten berichtigt, gelöscht oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollständig sind. 6 Ist die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung nur gültig, wenn sie für eine oder mehrere bestimmte Bearbeitungen nach angemessener Information, und freiwillig und eindeutig erteilt wird. Für die Bearbeitung von besonders schützenswerten Personendaten und das Profiling muss die Einwilligung ausdrücklich erfolgen. Kommentiert [DR]: Prio ; Art. 0 Verhaltenskodizes Berufs- und Wirtschaftsverbände, die nach ihren Statuten zur Wahrung der wirtschaftlichen Interessen ihrer Mitglieder befugt sind, sowie Bundesorgane können dem Beauftragten einen Verhaltenskodexizes vorlegen. Er kann sie einladen, solche zu bestimmten Bearbeitungen, die er für kritisch hält, innert angemessener Frist zu erstellen. Dieser nimmt zu den Verhaltenskodizes Stellung und veröffentlicht seine Stellungnahmen. Art. Verzeichnis der Bearbeitungstätigkeiten Die Verantwortlichen und Auftragsbearbeiter führen ein Verzeichnis ihrer Bearbeitungstätigkeiten. Das Verzeichnis des Verantwortlichen enthält mindestens: a. die Identität des Verantwortlichen; b. den Bearbeitungszweck; c. eine Beschreibung der Kategorien betroffener Personen und der Kategorien bearbeiteter Personendaten; d. die Kategorien der Empfängerinnen und Empfänger; e. wenn möglich die Aufbewahrungsdauer der Personendaten oder die Kriterien zur Festlegung dieser Dauer; f. wenn möglich eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit nach Artikel 7; g. falls die Daten ins Ausland bekanntgegeben werden, die Angabe des Staates sowie die Garantien nach Artikel Absatz. Das Verzeichnis des Auftragsbearbeiters enthält Angaben zur Identität des Auftragsbearbeiters und des Verantwortlichen, zu den Kategorien von Bearbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden, sowie die Angaben nach Absatz Buchstaben f und g. Die Bundesorgane melden ihre Verzeichnisse dem Beauftragten. Der Bundesrat kann Ausnahmen für Bearbeitungen Unternehmen vorsehen, die weniger als fünfzig Mitarbeiterinnen und Mitarbeiter beschäftigen und deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringten. Kommentiert [DR6]: Swiss Finish.

3 Art. Zertifizierung Die Hersteller von Datenbearbeitungssystemen oder -programmen sowie die Verantwortlichen und Auftragsbearbeiter können ihre Datenschutz-Management-Systeme, Produkte und Dienstleistungen einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen. Der Bundesrat erlässt Vorschriften über die Anerkennung von Zertifizierungsverfahren und die Einführung eines Datenschutz-Qualitätszeichens. Er berücksichtigt dabei das internationale Recht und die international anerkannten technischen Normen. Art. Grundsätze Personendaten dürfen ins Ausland bekanntgegeben werden, wenn der Bundesrat festgestellt hat, dass die Gesetzgebung des betreffenden Staates oder das internationale Organ einen angemessenen Schutz gewährleistet. Liegt kein Entscheid des Bundesrates nach Absatz vor, so dürfen Personendaten ins Ausland bekanntgegeben werden, wenn ein geeigneter Datenschutz gewährleistet wird durch: a. einen völkerrechtlicher Vertrag; b. Datenschutzklauseln in einem Vertrag zwischen dem Verantwortlichen oder dem Auftragsbearbeiter und seinem Vertragspartner, die dem Beauftragten vorgängig mitgeteilt wurden; c. spezifische Garantien, die das zuständige Bundesorgan erarbeitet und dem Beauftragten vorgängig mitgeteilt hat; d. Standarddatenschutzklauseln, die der Beauftragte vorgängig genehmigt, ausgestellt oder anerkannt hat; oder e. verbindliche unternehmensinterne Datenschutzvorschriften, die vorgängig vom Beauftragten oder von einer für den Datenschutz zuständigen Behörde eines Staates, der einen angemessenen Schutz gewährleistet, genehmigt wurden. Der Bundesrat kann andere geeignete Garantien im Sinne von Absatz vorsehen. Der private Verantwortliche kann von der Mitteilung an den Beauftragten nach Absatz Bst. b absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater nach Artikel 9 konsultiert hat. Art. Ausnahmen Abweichend von Artikel Absätze und dürfen in den folgenden Fällen Personendaten ins Ausland bekanntgegeben werden: a. Die betroffene Person hat ausdrücklich in die Bekanntgabe eingewilligt. b. Die Bekanntgabe steht in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags:. zwischen dem Verantwortlichen und der betroffenen Person, oder. zwischen dem Verantwortlichen und seinem Vertragspartner oder seiner Vertragspartnerin im Interesse der betroffenen Person. c. Die Bekanntgabe ist notwendig für:. die Wahrung eines überwiegenden öffentlichen Interesses, oder. die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor einem Gericht oder einer anderen zuständigen ausländischen Behörde. d. Die Bekanntgabe ist notwendig, um das Leben oder die körperliche Unversehrtheit der betroffenen Person oder eines Dritten zu schützen, und es ist nicht möglich, innerhalb einer angemessenen Frist die Einwilligung der betroffenen Person einzuholen. e. Die betroffene Person hat die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt.

4 f. Die Daten stammen aus einem gesetzlich vorgesehenen Register, das öffentlich oder Personen mit einem schutzwürdigen Interesse zugänglich ist, soweit im Einzelfall die gesetzlichen Voraussetzungen der Einsichtnahme erfüllt sind. Der Verantwortliche oder der Auftragsbearbeiter informiert den Beauftragten mit den verfügbaren Angaben auf Anfrage über die Bekanntgabe von Personendaten nach Absatz Buchstaben b Ziffer, c und d. Kommentiert [DR7]: Prio ; Praktikabilität. Art. Veröffentlichung von Personendaten in elektronischer Form Werden Personendaten zur Information der Öffentlichkeit mittels automatisierter Informations- und Kommunikationsdienste allgemein zugänglich gemacht, so gilt dies nicht als Bekanntgabe ins Ausland, auch wenn die Daten voim Ausland aus zugänglich sind. Art. 6 Der Verantwortliche gewährt kostenlos Einsicht in die Daten einer verstorbenen Person, wenn: a. ein schutzwürdiges Interesse an der Einsicht vorliegt oder die Person, die Einsicht verlangt, mit der verstorbenen Person in gerader Linie verwandt ist, mit ihr bis zum Zeitpunkt des Todes verheiratet war, in eingetragener Partnerschaft lebte oder eine faktische Lebensgemeinschaft führte oder wenn sie ihr Willensvollstrecker ist; b. der Einsicht weder eine ausdrückliche Erklärung noch ein besonderes Schutzbedürfnis der verstorbenen Person entgegenstehen; und c. keine überwiegenden Interessen des Verantwortlichen oder von Dritten der Einsicht entgegenstehen. Verweigert er die Einsicht unter Hinweis auf ein Amts- oder Berufsgeheimnis, so können die nach Absatz Buchstabe a berechtigten Personen die zuständige Behörde nach den Artikeln 0 und des Strafgesetzbuches um Entbindung des Verantwortlichen von seiner Geheimhaltungspflicht ersuchen. Die Erben oder der Willensvollstrecker können verlangen, dass der Verantwortliche Personendaten des Erblassers löscht oder vernichtet, es sei denn: a. der Erblasser hat dies zu Lebzeiten ausdrücklich untersagt; b. der Löschung oder Vernichtung stehen überwiegende Interessen des Erblassers, des Verantwortlichen oder von Dritten entgegen; oder c. der Löschung oder Vernichtung steht ein überwiegendes öffentliches Interesse entgegen. Kommentiert [DR8]: Swiss Finish. Art. 7 Informationspflicht bei der Beschaffung von Personendaten Der Verantwortliche informiert die betroffene Person über die Beschaffung von Personendaten; diese Informationspflicht gilt auch, wenn die Daten nicht bei der betroffenen Person beschafft werden. Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist; er teilt ihr mindestens mit: a. die Identität und die Kontaktdaten des Verantwortlichen; b. den Bearbeitungszweck; c. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden. Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr zudem die Kategorien der bearbeiteten Personendaten mit. Kommentiert [DR9]: Prio ;

5 Werden die Personendaten ins Ausland oder einem internationalen Organ bekanntgegeben werden, so teilt er dies der betroffenen Person auch den Staat oder das internationale Organ und gegebenenfalls die Garantien nach Artikel Absatz oder die Anwendung einer Ausnahme nach Artikel mit. Werden die Daten nicht bei der betroffenen Person beschafft, so teilt er ihr die Informationen nach den Absätzen spätestens einen Monat, nachdem er die Daten erhalten hat, mit. Gibt der Verantwortliche die Personendaten vor Ablauf dieser Frist bekannt, so informiert er die betroffene Person spätestens im Zeitpunkt der Bekanntgabe. 6 Die Information nach diesem Artikel 7 kann auch durch eine allgemein zugängliche Mitteilung erfolgen. Kommentiert [DR0]: Prio ; Kommentiert [DR]: Prio ; Praktikabilität, Rechtssicherheit. Art. 8 Ausnahmen von der Informationspflicht und Einschränkungen Die Informationspflicht nach Artikel 7 entfällt, wenn eine der folgenden Voraussetzungen erfüllt ist: a. Die betroffene Person verfügt bereits über die entsprechenden Informationen oder hat daran kein besonderes Interesse. b. Die Bearbeitung ist gesetzlich vorgesehen. c. Es handelt sich beim Verantwortlichen um eine private Person, die gesetzlich zur Geheimhaltung verpflichtet ist. d. Die Voraussetzungen nach Artikel sind erfüllt. Werden die Personendaten nicht bei der betroffenen Person beschafft, so entfällt die Informationspflicht zudem, wenn eine der folgenden Voraussetzungen erfüllt ist: a. Die Information ist nicht möglich. b. Die Information erfordert einen unverhältnismässigen Aufwand. Der Verantwortliche kann die Mitteilung der Informationen in den folgenden Fällen einschränken, aufschieben oder darauf verzichten: a. Überwiegende Interessen Dritter erfordern die Massnahme. b. Die Information vereitelt den Zweck der Bearbeitung. c. Der Verantwortliche ist eine private Person und, überwiegende Interessen erfordern die Massnahme und der Verantwortliche gibt die Personendaten nicht Dritten bekannt. d. Der Verantwortliche ist ein Bundesorgan und eine der folgenden Voraussetzungen ist erfüllt:. Die Massnahme ist wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder der äusseren Sicherheit der Schweiz, erforderlich.. Die Mitteilung der Information kann eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden. Kommentiert [DR]: Prio ; Art. 9 Informationspflicht bei einer automatisierten Einzelentscheidung Der Verantwortliche informiert die betroffene Person über eine Entscheidung, die ausschliesslich auf einer automatisierten Bearbeitung, einschliesslich Profiling, beruht und die für sie mit einer Rechtsfolge verbunden ist oder sie erheblich beeinträchtigt. Er gibt der betroffenen Person auf Antrag die Möglichkeit, ihren Standpunkt darzulegen. Die betroffene Person kann verlangen, dass die Entscheidung von einer natürlichen Person überprüft wird. Die Absätze und gelten nicht, wenn: a. die Entscheidung in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags zwischen dem Verantwortlichen und der betroffenen Person steht und ihrem Begehren stattgegeben wird; oder b. die betroffene Person ausdrücklich eingewilligt hat, dass die Entscheidung automatisiert erfolgt. Ergeht die automatisierte Einzelentscheidung durch ein Bundesorgan, so muss es die Entscheidung entsprechend kennzeichnen. Absatz gilt nicht, wenn der betroffenen Person gegen die Entscheidung ein Rechtsmittel zur Verfügung steht.

6 Art. 0 Datenschutz-Folgenabschätzung Der Verantwortliche erstellt vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden. Das hohe Risiko ergibt sich aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Der Bundesrat kann eine Datenschutz-Folgenabschätzung für bestimmte Bearbeitungen vorschreiben oder sie davon ausnehmen.es liegt namentlich vor: a. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten; b. bei einem Profiling; c. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden. Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte. Kommentiert [DR]: Prio ; Von der Erstellung einer Datenschutz-Folgenabschätzung ausgenommen sind Datenbearbeitungen durch Private, die zur Erfüllung einer gesetzlichen Pflicht des Verantwortlichen erfolgen. Der private Verantwortliche kann von der Erstellung einer Datenschutz-Folgenabschätzung absehen, wenn er nach Artikel zertifiziert ist oder einen Verhaltenskodex nach Artikel 0 einhält, der die folgenden Voraussetzungen erfüllt: a. Der Verhaltenskodex beruht auf einer Datenschutz-Folgenabschätzung. b. Er sieht Massnahmen zum Schutz der Persönlichkeit oder der Grundrechte der betroffenen Person vor. c. Er wurde dem Beauftragten vorgelegt und von ihm als im Einklang mit den gesetzlichen Vorgaben befunden. Art. Konsultation des Beauftragten Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vorgesehenen Massnahmen ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hathätte, wenn der Verantwortliche keine Massnahmen träfe, so holt er vorgängig die Stellungnahme des Beauftragten ein. Der Beauftragte teilt dem Verantwortlichen innerhalb von zwei Monaten seine Einwände gegen die geplante Bearbeitung mit. Diese Frist kann um einen Monat verlängert werden, wenn es sich um eine komplexe Datenbearbeitung handelt. Kommentiert [DR]: Nach dem Wortlaut ein Hat der Beauftragte Einwände gegen die geplante Bearbeitung, so schlägt er dem Verantwortlichen geeignete Massnahmen vor. Der private Verantwortliche kann von der Konsultation des Beauftragten absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater nach Artikel 9 konsultiert hat. Art. Meldung von Verletzungen der Datensicherheit Der Verantwortliche meldet dem Beauftragten so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Der private Verantwortliche kann in Fällen mit weniger als 0'000 Betroffenen davon absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater nach Artikel 9 informiert und konsultiert hat. In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen. Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.

7 Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der Beauftragte es verlangt. Er kann die Information an die betroffene Person einschränken, aufschieben oder darauf verzichten, wenn: a. ein Grund nach Artikel Absatz Buchstabe b oder Absatz Buchstabe b vorliegt oder eine gesetzliche Geheimhaltungspflicht dies verbietet; b. die Information unmöglich ist oder einen unverhältnismässigen Aufwand erfordert; oder c. die Information der betroffenen Person durch eine öffentliche Bekanntmachung in vergleichbarer Weise sichergestellt ist. 6 Eine Meldung, die aufgrund dieses Artikels erfolgt, darf in einem Strafverfahren gegen den Meldepflichtigen und dessen Hilfspersonen nur mit dessen und deren Einverständnis verwendet werden. Art. Auskunftsrecht Jede Person kann vom Verantwortlichen kostenlos Auskunft darüber verlangen, ob Personendaten über sie bearbeitet werden. Die betroffene Person erhält diejenigen Informationen, die erforderlich sind, alleinig damit sie ihre Rechte nach diesem Gesetz geltend machen kann und damit eine transparente Datenbearbeitung gewährleistet ist. In jedem Fall werden ihr folgende Informationen mitgeteilt: a. die Identität und die Kontaktdaten des Verantwortlichen; b. die bearbeiteten Personendaten als solche; c. der Bearbeitungszweck; d. die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer; e. die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person erhoben wurden; f. gegebenenfalls das Vorliegen einer automatisierten Einzelentscheidung sowie die Logik, auf der die Entscheidung beruht; g. gegebenenfalls die Empfängerinnen und Empfänger oder die Kategorien von Empfängerinnen und Empfängern, denen Personendaten bekanntgegeben werden, sowie die Informationen nach Artikel 7 Absatz. Personendaten über die Gesundheit können der betroffenen Person mit ihrer Einwilligung durch eine von ihr bezeichnete Gesundheitsfachperson mitgeteilt werden. Kommentiert [DR]: Prio ; Kommentiert [DR6]: Prio : Swiss Finish (aufgrund bisheriger Schweizer Gerichtspraxis). Lässt der Verantwortliche Personendaten von einem Auftragsbearbeiter bearbeiten, so bleibt er auskunftspflichtig. Niemand kann im Voraus auf das Auskunftsrecht verzichten. 6 Ist der Aufwand unverhältnismässig, kann die Auskunft mit einer angemessenen Gebühr belegt werden. Der Bundesrat regelt die Einzelheitenkann Ausnahmen von der Kostenlosigkeit vorsehen. Kommentiert [DR7]: Swiss Finish. Art. Einschränkungen des Auskunftsrechts Der Verantwortliche kann die Auskunft verweigern, einschränken oder aufschieben, wenn: a. ein Gesetz im formellen Sinn dies vorsieht; b. dies aufgrund überwiegender Interessen Dritter erforderlich ist; oder c. das Auskunftsgesuch offensichtlich unbegründet oder querulatorisch ist. Darüber hinaus ist es in den folgenden Fällen möglich, die Auskunft zu verweigern, einzuschränken oder aufzuschieben: a. Der Verantwortliche ist eine private Person und, überwiegende Interessen des Verantwortlichen erfordern die Massnahme und der Verantwortliche gibt die Personendaten nicht Dritten bekannt. Kommentiert [DR8]: Prio ;

8 b. Der Verantwortliche ist ein Bundesorgan, und eine der folgenden Voraussetzungen ist erfüllt:. Die Massnahme ist wegen überwiegender öffentlicher Interessen, insbesondere der inneren oder der äusseren Sicherheit der Schweiz, erforderlich.. Die Mitteilung der Information kann eine Ermittlung, eine Untersuchung oder ein behördliches oder gerichtliches Verfahren gefährden. Der Verantwortliche muss angeben, weshalb er die Auskunft verweigert, einschränkt oder aufschiebt. Art. 6 Persönlichkeitsverletzungen Wer Personendaten bearbeitet, darf die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Eine Persönlichkeitsverletzung liegt insbesondere vor, wenn: a. Personendaten entgegen den Grundsätzen nach den Artikeln, 6 und 7 bearbeitet werden; b. Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden; c. Dritten besonders schützenswerte Personendaten bekanntgegeben werden. In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Personendaten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat. Art. 7 Rechtfertigungsgründe Eine Persönlichkeitsverletzung ist widerrechtlich, wenn sie nicht durch Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Ein überwiegendes Interesse des Verantwortlichen fällt insbesondere in folgenden Fällen in Betracht: a. Der Verantwortliche bearbeitet die Personendaten über den Vertragspartner in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags.; dem Vertragspartner gleichgestellt sind Personen, in deren Interesse der Vertrag erfolgt. b. Der Verantwortliche steht mit einer anderen Person in wirtschaftlichem Wettbewerb oder wird in wirtschaftlichen Wettbewerb treten und bearbeitet zu diesem Zweck Personendaten, die Dritten nicht bekanntgegeben gegeben werden. c. Der Verantwortliche bearbeitet Personendaten zur Prüfung der Kreditwürdigkeit der betroffenen Person, wobei die folgenden Voraussetzungen erfüllt sind:. Es handelt sich wedernicht um besonders schützenswerte Personendaten mit Ausnahme von Daten über verwaltungs- und strafrechtliche Sanktionennoch um ein Profiling.. Die Daten werden Dritten nur bekanntgegeben, wenn diese die Daten für den Abschluss o- der die Abwicklung eines Vertrags mit der betroffenen Person benötigen.. Die Daten sind verhältnismässignicht älter als fünf Jahre.. Die betroffene Person ist volljährig. d. Der Verantwortliche bearbeitet die Personendaten beruflich und ausschliesslich zur Veröffentlichung im redaktionellen Teil eines periodisch erscheinenden Mediums. e. Der Verantwortliche bearbeitet die Personendaten zu nicht personenbezogenen Zwecken insbesondere in der Forschung, Planung oder Statistik, wobei die folgenden Voraussetzungen erfüllt sind:. Die Daten werden anonymisiert, sobald der Bearbeitungszweck es erlaubt.. Besonders schützenswerte Personendaten werden Dritten so bekanntgegeben, dass die betroffenen Personen nicht bestimmbar sind.. Die Ergebnisse werden so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind. f. Der Verantwortliche sammelt Personendaten über eine Person des öffentlichen Lebens, die sich auf das Wirken dieser Person in der Öffentlichkeit beziehen. Kommentiert [DR9]: Prio ; Kommentiert [DR0]: Prio ;

9 Art. 8 Rechtsansprüche Die betroffene Person kann verlangen, dass unrichtige Personendaten berichtigt werden, es sei denn: a. eine gesetzliche Vorschrift oder überwiegende Interessen verbietetn die Änderung; b. die Personendaten werden zu Sicherungs- oder Archivzwecken im öffentlichen Interesse bearbeitet. Klagen zum Schutz der Persönlichkeit richten sich nach den Artikeln 8, 8a sowie 8g 8l des Zivilgesetzbuchs. Die klagende Partei kann insbesondere verlangen, dass: Kommentiert [DR]: Prio ; a. eine bestimmte Datenbearbeitung verboten wird; b. eine bestimmte Bekanntgabe von Personendaten an Dritte untersagt wird; c. Personendaten gelöscht oder vernichtet werden. Kann weder die Richtigkeit noch die Unrichtigkeit der betreffenden Personendaten festgestellt werden, so kann die klagende Partei verlangen, dass ein Bestreitungs-vermerk angebracht wird. Die klagende Partei kann zudem verlangen, dass die Berichtigung, die Löschung oder die Vernichtung, das Verbot der Bearbeitung oder der Bekanntgabe an Dritte, der Bestreitungsvermerk oder das Urteil Dritten mitgeteilt oder veröffentlicht wird.